سیر تکامل امنیت اطلاعات : موج های چهارگانه – بخش اول
۴- موج سوم- نهادینهسازی
نهادینهسازی بر ایجاد یک زیرساخت امنیت اطلاعات فنی و رویهای و همچنین یک فرهنگ امنیت اطلاعات شرکتی استوار است که از خط مشیهای امنیت اطلاعات، رویهها، روشها و مسئولیتهای شرکت پشتیبانی کند، بهطوریکه تأمین امنیت اطلاعات به یک روال عادی از فعالیتهای روزانه در بین تمامی کارکنان شرکت تبدیل شود. این زیرساخت تجاری، فنی و رویهای مبتنی بر به روشهای بینالمللی است و توسط یک سیستم جامع سنجش امنیت اطلاعات در سراسر جهان پشتیبانی میشود که جهت مدیریت لحظهبهلحظه امنیت اطلاعات، تمامی اطلاعات لازم را در اختیار مدیران قرار میدهد.
چهار مؤلفه اصلی موج سوم عبارتند از:
• استانداردسازی امنیت اطلاعات، یا پیروی از به روشهای بینالمللی برای مدیریت امنیت اطلاعات
به روشهای بینالمللی یا رهنمودهای بینالمللی جهت مدیریت امنیت اطلاعات، در واقع جمع آوری تجارب ترکیبی از چندین شرکت بینالمللی بانفوذ است که در ارتباط با نحوه مدیریت امنیت اطلاعات خود دچار نگرانی هستند. این بهروشها و رهنمودها، در واقع تجربه چنین شرکتهایی را در مورد اقدام های کنترلی مربوطه، رویهای و همچنین فنی منعکس میکند که جهت ارائه سطح مناسب یا قابل قبول امنیت اطلاعات به دست آوردهاند. البته، چنین رهنمودهایی نمیتواند به طور دقیق و صددرصد نشان دهد که کدام اقدامهای کنترلی در همه موارد مورد نیاز است، بلکه می توانند به عنوان یک مبنا برای امنیت اطلاعات مورد استفاده قرار گیرند. در تمامی موارد، تحلیلهای مخاطره خاصی باید انجام شود تا تعیین کند که اگر شرکتی خاص، قصد دارد از این رهنمودهای پایه استفاده کند، آیا مخاطره های خاص دیگری دارد که باید اقدامهای کنترلی امنیتی خاصی برای مواجهه با آنها در نظرگرفت یا خیر؟. با این وجود، با پیروی از یک رهنمود پایه، شرکت میتواند به این اطمینان برسد که بیشتر جنبه های امنیتی که باید موردتوجه قرار گیرند، با استفاده از یک رهنمود خوب قابل شناسایی هستند.
• گواهینامه بینالمللی امنیت اطلاعات، برای نشان دادن امنیت سازمان به طرفهای بینالمللی در تجارت الکترونیکی و بهبود وجهه تجاری
در این مرحله، اگر شرکت از فرآیند ممیزی عبور کند، به عنوان مثال مطابق با اقدامهای کنترلی شناسایی شده در استاندارد ISO/IEC 27001 توسط تحلیلگر مخاطره، شرکت میتواند گواهینامه بینالمللی امنیت اطلاعات خود را با اعتبار ۳ ساله دریافت کند. این گواهینامه، تأیید میکند که شرکت یا آن بخشی از شرکت که جهت دریافت گواهینامه اقدام کرده است، مطابق با سطح امنیت اطلاعاتی است که توسط استاندارد تعیین شده است. شرکتهایی که با موفقیت از این روند صدور گواهینامه عبور کرده اند، اکنون خواستار تضمین امنیت اطلاعات از سوی شرکای تجارت الکترونیکی خود با استفاده از این گواهینامه هستند. در حال حاضر، استاندارد ISO/IEC 27001 تنها استاندارد بینالمللی برای امنیت اطلاعات است که امکان صدور چنین گواهینامه ای را ممکن میسازد.
• فرهنگسازی امنیت اطلاعات در سازمان، برای نهادینه کردن امنیت در کارکنان و رفع مشکلات انسانی به عنوان یکی از مهمترین مشکلات در تأمین امنیت
در بسیاری از موارد، کارکنان بزرگترین خطر برای سیستمهای فناوری اطلاعات یک شرکت محسوب میشوند. در اغلب موارد عدم شناخت کافی، باعث شده است شرکتها در سرتاسر جهان فعالیت خود را با برنامه های جامع آگاهی رسان امنیت اطلاعات شروع کنند. هر چقدر هم که اقدام های رویهای و فنی در عمل خوب باشند، اما این ابعاد انسانی امنیت اطلاعات نمیتواند به طور کامل با این اقدامها حل شوند. لازمه این کار، فرهنگسازی امنیت اطلاعات در شرکت است. این فرآیند از طریق القای جنبه های امنیت اطلاعات به هر کارمند و نهادینه سازی آن به عنوان یک روش طبیعی جهت انجام فعالیت روزانه وی صورت میگیرد. به همین دلیل است که دوره های آگاهی رسان امنیت در حال تغییر به برنامه های بهبود مستمر امنیت اطلاعات سازمانی هستند.
• ارزیابی دائمی و پویای امنیت اطلاعات در سازمان، سنجش و نظارت بر حسن اجرای خط مشیها و رویههای امنیتی:
در بسیاری از شرکتها، امنیت اطلاعات بهصورت دورهای مورد سنجش و ارزیابی قرار میگیرد. این اقدام معمولاً زمانی اتفاق میافتد که یک تیم ممیزی داخلی یا خارجی، ممیزی امنیت اطلاعات را انجام دهد. در بسیاری از موارد و باتوجه به سطح بالا مخاطره، چنین ارزیابی هایی قابل قبول نیست. مدیریت امنیت اطلاعات به سمت مدلی از مدیریت شبکه در حال حرکت است که سنجش دقیقه به دقیقه موقعیت جهت مدیریت وضعیت مورد نیاز است.
۵- موج چهارم- حاکمیت امنیت اطلاعات
رابطه معنی داری بین حاکمیت سازمان و امنیت اطلاعات برقرار است. حاکمیت سازمانی شامل مجموعهای از خط مشیها و کنترلهای داخلی است که توسط سازمان، صرف نظر از اندازه یا شکل آن، مدیریت میشوند. حاکمیت امنیت اطلاعات، زیرمجموعهای از برنامه کلی حاکمیت (سازمانی) است.
حاکمیت امنیت اطلاعات فراتر از مدیریت امنیت اطلاعات است.
حاکمیت امنیت اطلاعات به وضوح نشان دهنده نقش مهم مدیران ارشد و هیأت مدیره در نحوه مدیریت امنیت اطلاعات در یک شرکت است. در واقع، حاکمیت امنیت اطلاعات بخشی از حاکمیت سازمانی است که دربرگیرنده موارد زیر است:
• تعهد هیأت مدیره، مدیریت و مدیران ارشد به امنیت اطلاعات خوب؛
• ساختار سازمانی مناسب برای اجرای خوب امنیت اطلاعات؛
• آگاهیرسانی کامل کاربران و تعهد آنها به سمت امنیت اطلاعات خوب؛ و
• خط مشیهای ضروری، رویهها، فرآیندها، فناوریها و سازوکارهای پیروی از قوانین.
حاکمیت امنیت اطلاعات همه افراد یک شرکت، از رئیس هیأت مدیره تا کارمند ورود اطلاعات در کارگاه و راننده خودرو که محصولات را به مشتریان تحویل میدهد، را در بر میگیرد. همه افراد با یکدیگر همکاری میکنند تا از محرمانگی، صحت و دسترسپذیری دارایی های الکترونیکی شرکت (داده، اطلاعات، نرمافزار، سخت فزاد، نیروی انسانی و…) در تمامی زمانها اطمینان حاصل شود.
حاکمیت امنیت اطلاعات را میتوان به عنوان یک روش کلی در نظر گرفت که در آن امنیت اطلاعات به عنوان یک انتظام برای کاهش مخاطرات فناوری اطلاعات مورد استفاده قرار می گیرد. یکی از ویژگیهای اساسی حاکمیت امنیت اطلاعات این است که از یک حلقه بسته تشکیل شده است. این حلقه با یک الزام مدیریتی برای امنیت اطلاعات شروع میشود و آن را به عنوان یک جنبه استراتژیک مهم در ماهیت وجودی شرکت و مسئولیت مدیریت مخاطرههای فناوری اطلاعات شرکت درنظر میگیرد. این رفتار شامل تصویب یک خط مشی امنیت اطلاعات سازمانی است که توسط هیأت مدیره پذیرفته و امضاء شده است. این خطمشی توسط یک ساختار سازمانی مناسب برای امنیت اطلاعات، مالکیتها و مسئولیتها در همه سطوح پشتیبانی میشود. پس از آن فناوریهای مورد نیاز به کار گرفته و مدیریت میشوند و در انتها ارزیابی انطباقی به منظور سنجش انطباق این فناوریها با خطمشیها و میزان کاهش سطح مخاطرات فناوری اطلاعات در شرکت انحام می شود. در واقع، حاکمیت امنیت اطلاعات، پیاده سازی کامل چرخه امن سازی شامل مراحل طراحی-اجرا-کنترل-سنجش-گزارش است که لازم است طبق یک متدولوژی مشخص اجرا شود.
پیشرانهای موج چهارم به شدت با توسعه و تحولات در حوزه های حاکمیت سازمانی و حوزههای قانونی- مقرراتی در ارتباط است. از جمله پیشرانهای اصلی این موج میتوان به خطر فرآیند تقلب و صرفه جویی در منابع مالی از طریق دستکاری دادههای الکترونیکی ذخیره شده در سیستمهای فناوری اطلاعات شرکت اشاره نمود. به نظر میرسد پیشگیری از تقلب از طریق دستکاری دادههای الکترونیکی شرکت، هسته اصلی این پیشران است. در طی چند سال گذشته، ادغام/ ترکیب کامل فناوری اطلاعات در عملیات راهبردی شرکتها و فراگیربودن استفاده از فناوری اطلاعات در شرکتها و خدماتی که آنها ارائه میدهند، فرصتهای زیادی را برای فریبکاری با استفاده از سیستمهای فناوری اطلاعات فراهم آورده و منجر به خطرهای جدی شدهاست.
یکی از جدیترین این خطرها، مهندسی اجتماعی و ارتباط آن با امنیت اطلاعات است. مدیران ارشد متوجه این موضوع شدهاند که بخشی از سیستمهای فناوری اطلاعات که توسط نیروی انسانی، کارکنان و مشتریان استفاده میشود، صرفنظر از مقدار هزینه صرف شده در اقدامهای فنی، میتواند خطرهای جدی را ایجاد کند. برای آنها روشن شده است که مسئله امنیت اطلاعات نمیتواند به تنهایی با ابزارهای فنی حل شود و نیازمند تصمیمهای راهبردی در سطوح بالا جهت اطمینان از آگاهی همه کاربران از خطرهای احتمالی و پیامد مهندسی اجتماعی در حمله به سیستمهای فناوری اطلاعات هستند. به نظر میرسد تلاش برای استفاده از مهندسی اجتماعی برای انجام تقلب رو به افزایش است. لازم است این نکته را درنظر گرفت که حاکمیت خوب امنیت اطلاعات برای آدرس دهی این خطر ضروری است.
۶- بحث و نتیجه گیری
همانطورکه بیان شد تا اوایل دهه اول قرن ۲۱، چرخه توسعه امنیت اطلاعات در قالب سه موج فنی، مدیریتی و نهادینهسازی نمود پیدا کرد و از آن سال به بعد، توسعه موج چهارم با تمرکز بر توسعه و نقش حیاتی حاکمیت امنیت اطلاعات مطرح گردید. به طورخلاصه میتوان گفت، موج اول به مسائل فنی میپردازد و بهترین گزینه برای کارشناسان فنی در حوزه رایانه و امنیت است. موج دوم به این موضوع میپردازد که امنیت اطلاعات دارای ابعاد مدیریتی قوی است و جنبه هایی از جمله خط مشی گذاری و نقش مدیریت در این موج بسیار مهم و با اهمیت است. موج سوم نیاز به نوعی نهادینهسازی امنیت اطلاعات در شرکت را پیشینه فعالیت خود قرار میدهد و درنظرگرفتن جنبه هایی ازجمله به روشها، صدور گواهینامه، فرهنگ امنیت اطلاعات، سنجش و پایش امنیت اطلاعات در این دوره بسیار حائز اهمیت است. در نهایت، موج چهارم که بازتابی از توسعه حاکمیت امنیت اطلاعات است و به عنوان نتیجهای حاصل از تأکید بر حاکمیت سازمانی مناسب مطرح شده است.
در واقع، موج چهارم امنیت اطلاعات میتواند به عنوان بخش جدایی ناپذیر از حاکمیت سازمانی مناسب و بلوغ مفهوم حاکمیت امنیت اطلاعات در فرآیند تشریح صریح امنیت اطلاعات تعریف گردد.
باتوجه به اینکه پیشرانهای اصلی موج چهارم بر حاکمیت مناسب سازمانی و پشتیبانی از تحولات قانونی-مقرراتی صورت گرفته در این حوزه تأکید دارند، میتوان پذیرفت که موج چهارم یک موج پایدار در حوزه امنیت اطلاعات خواهد بود. باید به این مهم توجه داشت که اگرچه حاکمیت امنیت اطلاعات مسائل فنی و دیگر مسائل (غیرفنی) مانند آگاهی رسانی و مدیریت انطباق -اطمینان از عملکرد ذینفعان مطابق با تمام خط مشیها، رویهها و استانداردهای مرتبط- را دربرمیگیرد و برای حاکمیت خوب/ مناسب امنیت اطلاعات حیاتی به نظر میرسد، ولی یک مسئله فنی نیست.
موج چهارم نیازمند سازوکارها و ابزارهای رسمی برای گزارش دهی است، روشها و ابزارهایی که به مدیران ارشد این امکان را میدهد بر ریسکهای فناوری اطلاعات و نحوه مدیریت این ریسکها در طول زمان نظارت و کنترل داشته باشند.